IT-sikkerhet i anskaffelser – stadig nye sårbarheter i pandemiårene

Anbud365: IT-sikkerhet i anskaffelser – stadig nye sårbarheter i pandemiåreneRegjeringens veiledning om ivaretakelse av sikkerhet i offentlige anskaffelser fra 2019 har gjort det lettere for IT-avdelingene å slå i bordet og kreve at deres ønsker og vurderinger rundt IT-sikkerhet blir ivaretatt i offentlige anskaffelser, skriver Thomas Tømmernes, IT-sikkerhetsekspert i Atea Norway.

Skriv ut artikkelen

Virksomhetene bør lage en plan slik at ledelsen har et kontinuerlig fokus på sikkerheten, ikke bare i forkant av anskaffelse. Er det noe vi har sett i 2020 og i starten av 2021, så er det at det hele tiden oppdages nye sårbarheter, som igjen gir store ringvirkninger for sikkerheten, skriver Thomas Tømmernes, IT-sikkerhetsekspert i Atea Norway i Kommunerevisoren. Samtidig, peker han på, må det i forkant av et innkjøp, som kan påvirke eller relateres til sikkerhet, foretas en risikovurdering av anskaffelsen.

Tømmernes skriver at flere og flere ledere erkjenner at IT-sikkerhet er deres ansvar, at dette er noe de ikke kan delegere bort eller legges i en skuff. Tap av rennomme og økonomiske verdier etter et IT-angrep kan skade alle virksomheter, både offentlige og private, uansett hvor liten eller stor de måtte være.

Det er sikkert mange IT-ansvarlige i det offentlige som kjenner seg igjen i denne situasjonsbeskrivelsen: De har lagt ned vanvittig mye tid, testet løsninger opp mot hverandre og funnet ut hva som vil være den optimale løsningen for egen IT-infrastruktur. Alt for ofte har dette resultert i at tilbyderne til offentlige anskaffelser skriver smarte besvarelser, der man tilbyr et minimum som dekker sikkerhetskravene, med det formålet å prise seg så lavt at tilbudt løsning blir valgt. Her er det ofte innkjøpsavdelingene, og ikke IT-avdeling, som ser tilbudene opp mot hverandre og velger tilbyder etter lavest pris.

Fatalt for egen sikkerhet

At folk som ikke har spisskompetanse på teknologien og er målt på å spare penger tar avgjørelsene, kan i mange tilfeller være fatalt for egen sikkerhet, slår artikkelforfatteren fast. IT-avdelingen som har gjort et godt stykke arbeid med å kvalitetssikre løsningene, opplever at de blir spilt opp i et hjørne, og ender opp med en løsning som ikke tilfredsstiller hverken kravene til sikkerhet, GDPR eller intern kompetanse.

Regjeringens veiledningen om ivaretakelse av sikkerhet i offentlige anskaffelser fra 2019 har gjort det lettere for IT-avdelingene å slå i bordet og kreve at deres ønsker og vurderinger rundt IT-sikkerhet blir ivaretatt i offentlige anskaffelser, heter det i artikkelen.

Veiledning

Veiledningen gir IT-sjefen i det offentlige flere lissepasninger, bl.a. kravet om at man i forkant av et innkjøp, som kan påvirke eller relateres til sikkerhet, må foreta en risikovurdering av anskaffelsen. I tillegg gir veiledningen informasjon om risikovurderinger i forkant av anskaffelsen, og hvordan oppdragsgiverne kan gå frem for å gjennomføre slik risikovurderinger.

Det offentlige kan og bør i større grad benytte profesjonelle IT-sikkerhetstilbydere til å bidra med å forme sikkerhetskravene i forkant, og appellere til at man utfordrer der det er tydelig at utlysningen ikke har ivaretatt sikkerheten. Både Nasjonal sikkerhetsmyndighet (NSM) og Norsk senter for informasjonssikring (NorSIS) har uttalt gjentatte ganger at virksomheter uten egen it-sikkerhetsavdeling, bør kjøpe inn denne kompetansen som en tjeneste.

Spille på lag

Her gjelder det å spille på lag med og/eller utfordre innkjøperne om det er gjort risikovurderinger, ifølge artikkelforfatteren. I mange tilfeller vil dette innebære å få en ekstern vurdering.

Samtidig oppfordrer Tømmerås til å utarbeide en plan for at ledelsen har et kontinuerlig fokus på sikkerheten, ikke bare i forkant av anskaffelse. Mange løsninger/systemer settes opp uten tilstrekkelige dokumentasjon og plan for hvordan livssyklusen skal forløpe, skrivere han. Er det noe vi har sett i 2020 og i starten av 2021, så er det at det hele tiden oppdages nye sårbarheter, som igjen gir store ringvirkninger for sikkerheten.

Risiko- og sårbarhetsanalyse

Fokuser først og fremst på behovet for å få en oversikt over dagens nå-situasjon, før man utarbeider en bestilling eller et anbudsdokument. En risiko- og sårbarhetsanalyse i kombinasjon med en sårbarhetsskanning og penetrasjonstest av virksomhetens IT-systemer er en anbefalt start. Resultatene herfra vil gi et godt bilde på dagens utfordringer, status og sikkerhetsnivå. Samtidig vil det avdekke hvilket behov man trenger å fokusere på i en bestilling.

Bli den første til å kommentere på "IT-sikkerhet i anskaffelser – stadig nye sårbarheter i pandemiårene"

Legg inn kommentar

Epostadressen din vil ikke vises.


*


Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.